Softwaregigant Google waarschuwt gebruikers voor kwaadwillende actoren die gecompromitteerde Google Cloud-accounts gebruiken voor het delven van cryptocurrency. Google Cloud-accounts hebben toegang tot verwerkingskracht die eenvoudig kan worden omgeleid om kwaadaardige taken uit te voeren.
In zijn nieuwste Cloud Threat Intelligence-rapport getiteld “Threat Horizons”, dat gebruikers beveiligingsinzichten biedt, liet het bedrijf weten dat 86% van de gecompromitteerde instanties op Google Cloud-platforms werden gebruikt om cryptocurrencies te minen. De meeste gecompromitteerde accounts waren beveiligd met zwakke wachtwoorden of helemaal geen wachtwoord.
Het rapport stelt dat cryptocurrency-mining in de cloud een hoog CPU- en/of GPU-verbruik veroorzaakt. Het verwijst ook naar de winning van alternatieve cryptocurrencies zoals Chia, die opslagruimte gebruiken als mining-bron.
De eerste oorzaak van het compromitteren van de onderzochte Google Cloud-instanties was, zoals gezegd, een slechte beveiliging vanwege verschillende problemen. Een van deze problemen was een zwak of niet-bestaand wachtwoord om toegang te krijgen tot het platform, of een gebrek aan API-validatie. Zonder toepassing van deze basis beveiligingsmaatregelen kan een kwaadwillende actor deze platforms gemakkelijk hacken. Het gaf echter aan dat andere cloudplatforms ook kampen met soortgelijke problemen.
De meeste van de bestudeerde instanties downloadden de cryptocurrency-miningsoftware in minder dan 22 seconden nadat ze waren gecompromitteerd. Hieruit blijkt dat er sprake is van systematische aanvallen op deze onbeveiligde instanties, met als enige bedoeling ze voor dit doel te gebruiken. Ook lijken de kwaadwillende actoren deze onbeveiligde Google-instanties actief te volgen, aangezien 40% van de onbeveiligde instanties binnen acht uur na implementatie werd gecompromitteerd. Google verklaarde:
“Dit suggereert dat de openbare IP-adresruimte routinematig wordt gescand op kwetsbare Cloud-instanties. Het is niet de vraag of een kwetsbare Cloud instance wordt gedetecteerd, maar wanneer.”
Om deze risico’s te beperken, raadt het rapport gebruikers aan de beste basisbeveiligingspraktijken te volgen en containeranalyse en webscanning te implementeren, tools die het systeem onderzoeken op zwakke punten in de beveiliging met behulp van verschillende technieken zoals crawlen.
